Gestión de riesgos en la cadena de suministros (ID.CS)

Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen y se utilizan para respaldar las decisiones de riesgo asociadas con la gestión del riesgo de la cadena de suministro. La organización ha establecido e implementado los procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro.

Subcategoría	Nivel 1	Nivel 2	Nivel 3	Nivel 4
ID.CS-1. Los actores de la organización identifican, establecen, evalúan, gestionan y acuerdan los procesos de gestión del riesgo de la cadena de suministro cibernética.	Se identifica los participantes de la cadena de suministro de los activos y servicios críticos del centro de datos de la organización.	Se implementan modelos de identificación para abordar la gestión de riesgo asociado a los participantes de la cadena de suministro de los activos y servicios críticos de la organización. Se definen métricas e indicadores para el seguimiento y control.	Se cuenta con una política y procedimiento que define la gestión de riesgos, la cual debe contemplar toda la cadena de suministro (incluyendo proveedores y demás servicios subcontratados). Se define la periodicidad de las evaluaciones de los proveedores.	Los procesos de gestión de riesgo se utilizan en la adquisición de productos y servicios, y se mantiene en todo el ciclo de vida de los mismos. Esta gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. Las evaluaciones son tomadas en cuenta para las actualizaciones de contratos y las futuras adquisiciones.
ID.CS-2. Los proveedores y socios externos de los sistemas de información, componentes y servicios se identifican, se priorizan y se evalúan mediante un proceso de evaluación de riesgos de la cadena de suministro cibernético.	Los proveedores y demás partes externas que forman parte de la cadena de suministro de los servicios críticos de la organización, vinculados al centro de datos, son identificados, priorizados y evaluados en el análisis de riesgos, considerando su impacto en el negocio.	Se identifican y priorizan todos los proveedores de la cadena de suministro de servicios críticos de la organización. Se definen aspectos de seguridad de la información y ciberseguridad para identificar las acciones permitidas y no permitidas por lo proveedores.	Se cuenta con una política y metodología para la gestión de riesgo, las que contemplan en su evaluación de riegos a los proveedores de la cadena de suministro de los servicios críticos.	Los procesos de adquisición cuentan con todos los aspectos de evaluación de seguridad de la información y ciberseguridad durante todo el ciclo de vida desde la contratación de un servicio o sistema, hasta su culminación ya sea por cambios de entorno u obsolescencia, permitiendo que el proceso de gestión de riesgo evalúe cada fase a fin de satisfacer las necesidades de seguridad de la organización.
ID.CS-3. Los contratos con proveedores y socios externos se utilizan para implementar medidas apropiadas diseñadas para cumplir con los objetivos del programa de seguridad cibernética de una organización y el plan de gestión de riesgos de la cadena de suministro cibernético.	Se cuenta con un inventario de proveedores, identificando en cada caso su participación en la cadena de suministro de los servicios críticos. El proceso de adquisición de soluciones y servicios establece requisitos mínimos de seguridad de la información.	Informar a los proveedores de su participación en el alcance de los objetivos de negocio de la organización, determinando los roles y responsabilidades en cada caso. Los contratos y SLA con los proveedores contemplan la política de seguridad y demás medidas pertinentes que le exigen su la alineación a la estrategia de seguridad del negocio.	Se cuenta con una política de gestión de proveedores. Se realizan gestión de cambios de los proveedores conforme las necesidades de adecuación del negocio. Se revisan periódicamente los niveles de servicios de los proveedores en relación con el SLA acordado. Los desvíos son gestionados.	Se realizan auditorias periódicas para la evaluación de los proveedores. La misma es utilizada para ajustar los servicios de los proveedores en base a las necesidades del negocio.
ID.CS-4. Los proveedores y los socios externos se evalúan de forma rutinaria mediante auditorías, resultados de pruebas u otras formas de evaluación para confirmar que cumplen con sus obligaciones contractuales.	Las áreas tecnológicas que mantienen el centro de datos cuentan con un proceso, que se ajusta a parámetros determinados en los contratos establecidos entre las partes, para la evaluación de desempeño de proveedores y demás partes externas vinculadas a la cadena de suministro de los servicios críticos de la organización.	Se verifica que el trabajo realizado por los proveedores está ajustado a los parámetros esperados según los términos pautados en los contratos. Se establecen reuniones periódicas, o a solicitud de la organización, para contrastar los acuerdos establecidos contra los resultados de la evaluación del proveedor, permitiendo apoyar los procesos de gestión de riesgo en la cadena de suministro. Se deja registro de las reuniones, de los desvíos y de las acciones correctivas.	La política de la seguridad de la información (o vinculada) establece la ejecución de auditorías externas e independientes sobre aquellos proveedores catalogados como críticos para las operaciones de la organización. Los desvíos identificados en la evaluación de proveedores cuentan con un plan de acciones correctivas para minimizar su afectación a los objetivos del negocio. Cada acción está priorizada cuenta con un plazo de ejecución alineado a las necesidades del negocio.	Las auditorías externas a proveedores se realizan sistemáticamente conforme el apetito de riesgo de la organización. Se establece un monitoreo permanente de los servicios brindados por los proveedores. Se realiza seguimiento de los planes de acciones correctivas y se mide su efectividad. Lo antes mencionado está integrado a la evaluación de riesgos y es utilizado para ajustar los SLA conforme a las necesidades del negocio.
ID.CS-5. Las pruebas y la planificación de respuesta y recuperación se llevan a cabo con proveedores.	Ver PR.PI-10 (nivel 1)	Ver PR.PI-10 (nivel 2)	Ver PR.PI-10 (nivel 3)	Ver PR.PI-10 (nivel 4)

Subcategoría

Nivel 1

Nivel 2

Nivel 3

Nivel 4

ID.CS-1.

Los actores de la organización identifican, establecen, evalúan, gestionan y acuerdan los procesos de gestión del riesgo de la cadena de suministro cibernética.

Se identifica los participantes de la cadena de suministro de los activos y servicios críticos del centro de datos de la organización.

Se implementan modelos de identificación para abordar la gestión de riesgo asociado a los participantes de la cadena de suministro de los activos y servicios críticos de la organización.

Se definen métricas e indicadores para el seguimiento y control.

Se cuenta con una política y procedimiento que define la gestión de riesgos, la cual debe contemplar toda la cadena de suministro (incluyendo proveedores y demás servicios subcontratados).

Se define la periodicidad de las evaluaciones de los proveedores.

Los procesos de gestión de riesgo se utilizan en la adquisición de productos y servicios, y se mantiene en todo el ciclo de vida de los mismos. Esta gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. Las evaluaciones son tomadas en cuenta para las actualizaciones de contratos y las futuras adquisiciones.

ID.CS-2.

Los proveedores y socios externos de los sistemas de información, componentes y servicios se identifican, se priorizan y se evalúan mediante un proceso de evaluación de riesgos de la cadena de suministro cibernético.

Los proveedores y demás partes externas que forman parte de la cadena de suministro de los servicios críticos de la organización, vinculados al centro de datos, son identificados, priorizados y evaluados en el análisis de riesgos, considerando su impacto en el negocio.

Se identifican y priorizan todos los proveedores de la cadena de suministro de servicios críticos de la organización.

Se definen aspectos de seguridad de la información y ciberseguridad para identificar las acciones permitidas y no permitidas por lo proveedores.

Se cuenta con una política y metodología para la gestión de riesgo, las que contemplan en su evaluación de riegos a los proveedores de la cadena de suministro de los servicios críticos.

Los procesos de adquisición cuentan con todos los aspectos de evaluación de seguridad de la información y ciberseguridad durante todo el ciclo de vida desde la contratación de un servicio o sistema, hasta su culminación ya sea por cambios de entorno u obsolescencia, permitiendo que el proceso de gestión de riesgo evalúe cada fase a fin de satisfacer las necesidades de seguridad de la organización.

ID.CS-3.

Los contratos con proveedores y socios externos se utilizan para implementar medidas apropiadas diseñadas para cumplir con los objetivos del programa de seguridad cibernética de una organización y el plan de gestión de riesgos de la cadena de suministro cibernético.

Se cuenta con un inventario de proveedores, identificando en cada caso su participación en la cadena de suministro de los servicios críticos.

El proceso de adquisición de soluciones y servicios establece requisitos mínimos de seguridad de la información.

Informar a los proveedores de su participación en el alcance de los objetivos de negocio de la organización, determinando los roles y responsabilidades en cada caso.

Los contratos y SLA con los proveedores contemplan la política de seguridad y demás medidas pertinentes que le exigen su la alineación a la estrategia de seguridad del negocio.

Se cuenta con una política de gestión de proveedores.

Se realizan gestión de cambios de los proveedores conforme las necesidades de adecuación del negocio. Se revisan periódicamente los niveles de servicios de los proveedores en relación con el SLA acordado. Los desvíos son gestionados.

Se realizan auditorias periódicas para la evaluación de los proveedores. La misma es utilizada para ajustar los servicios de los proveedores en base a las necesidades del negocio.

ID.CS-4.

Los proveedores y los socios externos se evalúan de forma rutinaria mediante auditorías, resultados de pruebas u otras formas de evaluación para confirmar que cumplen con sus obligaciones contractuales.

Las áreas tecnológicas que mantienen el centro de datos cuentan con un proceso, que se ajusta a parámetros determinados en los contratos establecidos entre las partes, para la evaluación de desempeño de proveedores y demás partes externas vinculadas a la cadena de suministro de los servicios críticos de la organización.

Se verifica que el trabajo realizado por los proveedores está ajustado a los parámetros esperados según los términos pautados en los contratos.

Se establecen reuniones periódicas, o a solicitud de la organización, para contrastar los acuerdos establecidos contra los resultados de la evaluación del proveedor, permitiendo apoyar los procesos de gestión de riesgo en la cadena de suministro.

Se deja registro de las reuniones, de los desvíos y de las acciones correctivas.

La política de la seguridad de la información (o vinculada) establece la ejecución de auditorías externas e independientes sobre aquellos proveedores catalogados como críticos para las operaciones de la organización.

Los desvíos identificados en la evaluación de proveedores cuentan con un plan de acciones correctivas para minimizar su afectación a los objetivos del negocio. Cada acción está priorizada cuenta con un plazo de ejecución alineado a las necesidades del negocio.

Las auditorías externas a proveedores se realizan sistemáticamente conforme el apetito de riesgo de la organización.

Se establece un monitoreo permanente de los servicios brindados por los proveedores.

Se realiza seguimiento de los planes de acciones correctivas y se mide su efectividad.

Lo antes mencionado está integrado a la evaluación de riesgos y es utilizado para ajustar los SLA conforme a las necesidades del negocio.

ID.CS-5.

Las pruebas y la planificación de respuesta y recuperación se llevan a cabo con proveedores.

Ver PR.PI-10 (nivel 1)

Ver PR.PI-10 (nivel 2)

Ver PR.PI-10 (nivel 3)

Ver PR.PI-10 (nivel 4)

Etiquetas

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Marco de Ciberseguridad

Gestión de riesgos en la cadena de suministros (ID.CS)

Etiquetas